[logo de la organizacin]

[nombre de la organizacin]

PLAN DEL PROYECTO

para la implementacin del Sistema de gestin de
Seguridad de la informacin

Cdigo:
Versin:
Fecha de la versin:
Creado por:
Aprobado por:
Nivel
de
confidencialidad:

[nombre de la organizacin]

Plan del proyecto para la implementacin

del SGSI [SGCN]

[nivel de
confidencialidad]

ver. [versin] del

[fecha]

Pgina 2 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Historial de modificaciones
Fecha
10/01/201
3

Versi
n
0.1

Creado
por
Dejan
Kosutic

Plan del proyecto para la implementacin

del SGSI [SGCN]

Descripcin de la modificacin
Descripcin bsica del documento

ver. [versin] del

[fecha]

Pgina 3 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Tabla de contenido
1.
2.
3.

OBJETIVO, ALCANCE Y USUARIOS...............................................................3

DOCUMENTOS DE REFERENCIA..................................................................3
PROYECTO DE IMPLEMENTACIN DEL SGSI.................................................3
3.1. OBJETIVO DEL PROYECTO............................................................................................. 3
3.2. RESULTADOS DEL PROYECTO........................................................................................3
3.3. PLAZOS................................................................................................................... 5
3.4. ORGANIZACIN DEL PROYECTO.....................................................................................5
3.4.1.
Promotor del proyecto...................................................................................5
3.4.2.
Gerente del proyecto.....................................................................................5
3.4.3.
Equipo del proyecto.......................................................................................6
CUADRO DE PARTICIPANTES DEL PROYECTO.....................................................6
3.5. PRINCIPALES RIESGOS DEL PLAN...................................................................................6
3.6. HERRAMIENTAS PARA IMPLEMENTACIN DEL PROYECTO Y GENERACIN DE INFORMES................6
4. GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO...........7
5. VALIDEZ Y GESTIN DE DOCUMENTOS.......................................................7

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 4 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

1. Objetivo, alcance y usuarios

El objetivo del Plan del proyecto es definir claramente el propsito del proyecto
de implementacin del Sistema de Gestin de Seguridad de la Informacin
(SGSI), los documentos que se redactarn, los plazos y las funciones y
responsabilidades del proyecto.
El Plan del proyecto se aplica a todas las actividades realizadas en el proyecto de
implementacin del SGSI.
Los usuarios de este documento son los miembros de la [alta direccin] y los
miembros del equipo del proyecto.

2. Documentos de referencia

Norma ISO/IEC 27001

Norma ISO 22301
Norma BS 25999-2
[decisin u otro documento similar que establezca el lanzamiento del
proyecto]
[metodologa para la gestin del proyecto]

3. Proyecto de implementacin del SGSI

3.1. Objetivo del proyecto
Para implementar el Sistema de Gestin de Seguridad de la Informacin en
conformidad con la norma ISO 27001, a ms tardar, hasta el [fecha].

3.2. Resultados del proyecto

Durante el proyecto de implementacin del SGSI, se redactarn los siguientes
documentos (algunos de los cuales contienen apndices no mencionados aqu en
forma expresa):

Procedimiento para control de documentos y registros:

procedimiento que establece las reglas bsicas para la redaccin,
aprobacin, distribucin y actualizacin de documentos y registros.

Procedimiento para identificacin de requisitos: procedimiento para

identificar obligaciones legales, normativas, contractuales y de otra ndole.

Alcance del Sistema de Gestin de Seguridad de la Informacin: un

documento que define en forma precisa los activos, ubicaciones,
tecnologa, etc. que forman parte del alcance.

Poltica de seguridad de la informacin: este es un documento clave

que utiliza la direccin para controlar la gestin de la seguridad de la
informacin.

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 5 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Metodologa de evaluacin y tratamiento de riesgos: describe la

metodologa para gestionar los riesgos de la informacin.

Cuadro de evaluacin de riesgos: el cuadro es el resultado de la

evaluacin del valor, de las amenazas y vulnerabilidades de los activos.

Cuadro de tratamiento de riesgos: un cuadro en el que se seleccionan

los controles de seguridad adecuados para cada riesgo inaceptable.

Informe sobre evaluacin de riesgos y tratamiento del riesgo: un

documento que incluye todos los documentos clave generados en el
proceso de evaluacin y tratamiento de riesgos.

Declaracin de aplicabilidad: un documento que determina los

objetivos y la aplicabilidad de cada control establecido en el Anexo A de la
norma ISO 27001.

Procedimiento para Auditora interna: define cmo se seleccionan los

auditores, cmo se redactan los programas de auditora, cmo se realizan
las auditoras y cmo se informan los resultados de las mismas.

Procedimiento para acciones correctivas: describe el proceso de

implementacin para acciones correctivas y preventivas.

Formulario para minutas de revisin por parte de la direccin: un

formulario que se utiliza para crear minutas de las reuniones que la
direccin realiza para revisar la adecuacin del SGSI.

Plan de tratamiento del riesgo: un documento que especifica los

controles que se deben implementar, quin es responsable de la
implementacin, de los plazos y de los recursos.

En el Plan de tratamiento del riesgo se especifican otros documentos que deben

redactarse durante la implementacin del SGSI.
Durante el proyecto de implementacin de gestin de continuidad del negocio se
redactarn los siguientes documentos (algunos de los cuales contienen
apndices no mencionados aqu en forma expresa):

Poltica de la gestin de continuidad del negocio: establece un

marco bsico para el SGCN, determina el alcance y las responsabilidades.

Cuestionarios de Anlisis de impactos en el negocio (AIN): anlisis

de impactos cualitativos y cuantitativos sobre el negocio, de recursos
necesarios, etc.

Estrategia de continuidad del negocio: define actividades crticas,

interdependencias, objetivos de tiempo de recuperacin, estrategia para
gestionar y garantizar la continuidad del negocio, estrategia para
recuperacin de recursos, estrategia para actividades crticas individuales.

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 6 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Plan de continuidad del negocio: una descripcin detallada de cmo

responder ante desastres u otras interrupciones del negocio, y cmo
recuperar todas las actividades crticas.

Plan de capacitacin y concienciacin: un resumen detallado de cmo

los empleados deben ser capacitados para ejecutar tareas planificadas y
de cmo se los har tomar conciencia sobre la importancia de la
continuidad del negocio.

Plan de prueba y verificacin de la continuidad del negocio:

describe cmo se deben probar y verificar los planes con el objetivo de
identificar las acciones correctivas necesarias y de mejorarlos.

Plan de mantenimiento y revisin del SGCN: un resumen detallado de

cmo se deben mantener los planes y otros documentos de SGCN para
garantizar su funcionamiento ante el caso de un interrupcin del negocio.

Formulario de revisin post-incidente: un formulario que se utiliza

para revisar la eficacia de los planes luego de un incidente.

3.3.

Plazos

Los plazos de aceptacin de documentos individuales en el transcurso de la

implementacin del SGSI son los siguientes:
Documento

Plazos de aceptacin
del documento

Los plazos de aceptacin de documentos individuales en el transcurso de la

implementacin del SGCN son los siguientes:
Documento

Plazos de aceptacin
del documento

La presentacin final de los resultados del proyecto est prevista para el [fecha].

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 7 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

3.4. Organizacin del proyecto

3.4.1.Promotor del proyecto
Cada proyecto tiene asignado un "promotor", que no participa activamente en el
mismo. El gerente del proyecto del proyecto debe informar regularmente al
promotor del proyecto acerca del estado del mismo; ste interviene si el proyecto
est paralizado.
El [nombre, cargo] ha sido designado promotor del proyecto.
3.4.2.Gerente del proyecto
La funcin del gerente del proyecto es coordinar el proyecto, garantizar los
recursos necesarios para su implementacin del proyecto, informar al promotor
sobre el progreso del proyecto y realizar trabajos administrativos relacionados
con el mismo. La autoridad del gerente del proyecto debe ser tal que garantice la
implementacin ininterrumpida del proyecto dentro de los plazos establecidos.
El [nombre, cargo] ha sido designado gerente del proyecto.
3.4.3. Equipo del proyecto
La funcin del equipo del proyecto es ayudar en diversos aspectos de la
implementacin del proyecto, realizar tareas preestablecidas y tomar decisiones
sobre diversos temas que requieren un enfoque multidisciplinario. El equipo del
proyecto se rene antes de completar cada versin final de un documento de la
seccin 2 de este Plan del proyecto y, en otros casos, cuando el gerente del
proyecto lo considere necesario.
Cuadro de participantes del proyecto
Nombre

Unidad
organizativa

Cargo

Telfono

Correo
electrnico

3.5. Principales riesgos del plan

Los principales riesgos en la implementacin del proyecto son los siguientes:
1. Extensin de los plazos en la fase de evaluacin de riesgos.
2. Extensin de los plazos durante el desarrollo de los planes de continuidad
del negocio.
3. Realizacin de actividades que producen gastos innecesarios y prdidas de
tiempo.
4. Seleccin de demasiados controles y/o muy caros.
Plan del proyecto para la implementacin
del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 8 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Algunas medidas para reducir los riesgos mencionados anteriormente son las
siguientes:

El gerente del proyecto supervisa que todas las actividades del proyecto
sean realizadas dentro de los plazos definidos y solicita a tiempo la
intervencin del promotor del proyecto.

Contratacin de un consultor que asegure que los tiempos y los recursos

no sean utilizados en actividades que no son importantes para el proyecto
y que las actividades individuales no sean encaminadas en una direccin
incorrecta.

Contratacin de un consultor que proponga los controles ms rentables.

3.6. Herramientas
para
generacin de informes

implementacin

del

proyecto

Se crear, en la red local, una carpeta compartida que incluya todos los
documentos generados durante el proyecto. Todos los miembros del equipo del
proyecto tendrn acceso a esos documentos. Slo el gerente del proyecto [y
miembros del equipo del proyecto] estarn autorizados a realizar modificaciones
y a borrar archivos.
El gerente del proyecto elaborar mensualmente un informe
implementacin del proyecto y se lo enviar al promotor del proyecto.

4. Gestin de
documento

registros

Nombre del
registro

Ubicacin de
archivo

Informe
de
implementaci
n del proyecto
(en
formato
electrnico)

Carpeta
compartida
para
actividades
relacionadas
con
el
proyecto

guardados

Persona
responsable
del archivo

Gerente del
proyecto

en

base

sobre

la

este

Controles para la
proteccin del
registro

Tiempo de
retencin

Slo el gerente del

proyecto
est
autorizado a editar
datos

Los
informes
son
almacenad
os por el
plazo de 3
aos.

5. Validez y gestin de documentos

Este documento es vlido hasta el [fecha].
El propietario de este documento es el [cargo].
Al evaluar la efectividad y adecuacin de este documento, es necesario tener en
cuenta los siguientes criterios:

Si todos los empleados involucrados en el proyecto realizan sus

actividades en conformidad con este documento.

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 9 de 10

[nombre de la organizacin]

[nivel de
confidencialidad]

Si se cumplen todos los plazos del proyecto.

[cargo]
[nombre]
_________________________
[firma]

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 10 de 10